Q Qualys. 


PostgreSQL(PC) 


認証 コン プラ イア ンス スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認証 を 使用 する と 、 ホス ト を さら に 詳 
し く 評 価 し 、 最も 正確 な 結果 を 取得 する こと が で きま す 。 本 書 で は 、PostereSQOL デー タベース イン スタ ンス の 認証 
に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事項 


認証 を 使用 する 理由 

認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に 更に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


資格 情報 の 安全 性 に つい て 

資格 情報 は 、 読み 取り 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 
か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 
行 中 に の み 使 用 され ます 。 


操作 手順 


まず 、 対象 の ホス ト 上 で PostgreSQL ユー ザ ア カ ウ ント と 権限 を 設定 し ます (下記 で 説明 ) 。 次 に 、Qualys Policy 
Compliance を 使用 し て 次 の 手順 を 実行 し ます 。 1) PostgreSQL 認証 レコ ー ド を 追加 し ます 。 2) コン プラ イア ンス ス 
キャ ン を 開始 し ます 。 3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 済 み の 各 ホス ト の 認証 ステ ー タ ス (「Passed」 ま た は 
「Failed」) を 表示 し ます 。 


PostgreSQL の 設定 


PostgreSQL デー タベース で Qualys コン プラ イア ンス スキ ャ ン を 正常 に 機能 させ る に は 、 ス キャ ン を 実行 する 前 に 、 
次 の アカ ウン ト と 権限 が 存在 し て いる 必要 が あり ます 。 アカ ウン ト を 設定 し 、 権 限 を 付与 する た め に 、 以 下 の ス クリ プ 
ト の セッ ト が 用 意 さ ん て いま す 。 注記 - これ ら の スク リプ ト で は 、postgres な どの スー パー ユー ザ ア カ ウ ント か が 必要 に 
な り ま す 。 スー パー ユー ザ ア カ ウ ント で デー タベース に 接続 し 、 次 の 順番 で スク リプ ト を 実行 し て くだ さい 。 


1) PostgreSQL イン スタ ンス で の ユー ザ ア カ ウ ント の 作成 
次 の スク リプ ト に より QUALYS_SCAN と いう 名 前 の ユー ザ ア カ ウ ント が 作成 され ます 。 


CREATE ROLE qualys_ scan WITH ENCRYPTED PASSWORD [ここ に パス ワー ド を 入力 ] LOGIN: 


注記 - イン スタ ンス の すべ て の デー タベース を スキ ャ ン す る 場合 、 デー タベース ご と に ユー ザ ア カ ウ ント を 作成 する 
必要 は あり ませ ん 。 た だ し 、 各 デー タベース で 以下 に 示す 手順 2 と 手順 3 を 行う 必要 が あり ます 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2017-2020 年 クキ リス ジャ パン 株 式 会 社 1 


2) 接続 デー タベース で の スキ ャ ン ユ ー ザ アカ ウン ト に 対す る 権限 の 付与 (オプ ショ ン ) 


デフ ォ ル ト で は 、 初期 設定 時 の デフ ォ ル ト の 権 


限 が 変更 され て いな けれ ば 、 ス キャ ン ユ ー ザ アカ ウン 


に は 既に 


SQL 文 で クエ リ (PG_SHADOW ビュ ー は 除く ) を 実行 する た め の 権 限 が あり ます 。 また 、 ま ず 手 順 3 で 権限 を 確認 
し た 後 、 不 足し て いる 権限 を 付与 する こと も で きま す 。 


GRANT CONNECT ON DATABASE [Current database name] TO qualys scan: 
GRANT USAGE ON SCHEMA PG _ CATALOG TO qualys scan: 

GRANT SELECT ON PG CATALOG.PG SETTINGS TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG_USER TO qualys scan: 

GRANT SELECT ON PG CATALOG.PG GROUP TO qualys_scan: 

GRANT SELECT ON PG CATALOG.PG ROLES TO qualys scan: 

GRANT SELECT ON PG CATALOG.PG_ SHADOW TO qualys_scan: 
GRANT SELECT ON PG CATALOG.PG CLASS TO qualys scan: 

GRANT SELECT ON PG CATALOG.PG STAT ACTTVITY TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG LOCKS TO qualys_scan: 

GRANT SELECT ON PG CATALOG.PG DATABASE TO qualys scan: 
GRANT SELECT ON PG _ CATALOG.PG NAMESPACE TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG TABLESPACE TO qualys scan: 
GRANT SELECT ON PG CATALOG.PG_AUTHID to qualys_ scan: 


注記 - PG CATALOG.PG_ SHADOW ビュ ー で は 、 機 密 情 報 が 含ま れる 可能 性 が あり ます 。 これ は 空 の パス ワー 


ド や プレ ー ン デ テキ スト の パス ワー ド の ロー ル 検 出 を チェ ッ ク す る 場合 に 使用 され ます 。 SQL クエ リ で は 、 こ の ビュ ー 


か ら の “passwd "カラ ム の 値 を シグ ネ チ ャ 内 に 返さ な いよ うに 保証 し ます 。 この よう な 検出 の サポ ー ト を 求め る か どう 


か 決定 する こと が で きま す 。 


3) スキ ャ ヤン アカ ウン ト の 権限 の 確認 


スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント で 不足 し て いる 権限 の 特定 に 利 


H で きる スク リプ ト を zip アー カイ ブ 内 に 用 


意 し て いま す 。 これ ら の スク リプ ト は 、QG PostgreSQL Auth verx.x.txt ファ イル 内 に あり 3 
設定 され て いる か どう か を 判断 する た め に 、 ス ー パ ー ユ ー ザ が 、 デ ー タ ベー ス に 接続 する こと で スク リプ ト を 実行 し 


出力 例 


ます 。 この スク リプ ト に より 、 すべ て の 必須 項目 の 状態 を 表示 する 出力 が 生成 され ます 。 


ます 。 適切 な 権限 が 1 


E し く 


PostgreSOL 9.5.4 

DOSteres 

qualys scan 

testing db 

PG CATALOG 

PG_ CATALOG.PG_SETTINGS 
PG_ CATALOG.PG_USER 

PG CATALOG.PG GROUP 

PG_ CATALOG.PG ROLES 

PG CATALOG.PG _ SHADOW 

PG CATALOG.PG CLASS 

PG _ CATALOG.PG STAT ACTIVITY 
PG CATALOG.PG LOCKS 

PG CATALOG.PG DATABASE 
PG CATALOG.PG NAMESPACE 
PG CATALOG.PG TABLESPACE 
PG CATALOG.PG_AUTHID 

(17 rows) 


Qualys 認証 スキ ャ ン 


<--- 現 在 ロ グ オ ン し て いる デー タ ベ 
<--- 現 在 ロ グ オ ン し て いる ロー ル 名 
PASSED - account exists 


スバ パー ジョ ン 


PASSED - account can connect to current database 


PASSED - USAGE privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 
PASSED - SELECT privilege exists 


4) $PGDATA/pg_hba.conf ファ イル で の クラ イア ント 認証 の 設定 


PostgreSQOL で は 、 さ ま ざ ま な クラ イア ント 認証 方 法 が 提供 され て いま す 。 特定 の クラ イア ント 接続 を 認証 する た め の 
方 法 は 、 (クラ イア ント ) ホス ト の アド レス 、 デー タベース 、 お よび ユー ザ に 基づき 選択 で きま す 。 クラ イア ント 認証 は 
構成 ファ イレ に よっ て 制御 され ます 。 この 構成 ファ イル は 、 通常 pg hba.conf(hba は host-based authentication (ホス 
ト ベ ー ス の 認証 ) の 略 ) と いう 名 前 で 、 デー タベース クラ スタ の デー タデ ィ レ クト リ に 保存 され ます 。 initdb に よっ て 


デー タデ ィ レ クト リ ($PGDATA) が 初期 化 さ れる と 、 デフ ォ ル ト の pg hba.conf ファ イル が イン スト ー ル され ます 。 


成 ファ イル を 他 の 場所 に 保存 する こと も で きま す 。 


クラ イア ント 認証 の $PGDATA/pg hba.conf file ファ イル に つい て 、 以下 の サン プル 設定 を 参照 し て くだ さい 。 
“databases ” に は 、 複数 の デー タベース 名 を カン マ で 区 切っ て 入力 で きま す 。“ address "に は 、 ス キャ ナ の IPV4 


また は IPV6 アド レス 範囲 を 入力 で きま す 。 


プレ ー ン テキ スト また は SSL で 暗号 化 さ れ た TCP/IP ソケット で の パス ワー ド 認 


認証 レコ ー ド の パス ワー ド を 入力 し ます 。 


host [databases] qualys scan [address] 
or 
host all qualys scan [address] 


SSL で 暗号 化 さ れ た TCP/IP ソケット で の パス ワー ド 認 証 
認証 レコ ロー ド の パス ワー ド を 入力 し ます 。 


hostssl [databases] qualys scan [address] 
or 
hostssl all qualys scan [address] 


md5 


md5 


SSL で 暗号 化 さ れ た TCP/IP ソケット お よび クラ イア ント 証明 書 で の パス ワー ド 認 証 は 、SSL 接続 の 開始 時 に 要求 され ます 
認証 レコ ー ド の パス ワー ド 、 ク ライ アン ト 証 明 書 、 お よび 秘密 鍵 を 入力 し ます 。 


hostssl [databases] qualys scan [address] 
or 
hostssl all qualys scan [address] 


Certificate Authentication 


認証 レコ ー ド の クラ イア ント 証明 書 と 秘密 鍵 を 入力 し ます 。 


hostssl [databases] qualys scan [address] 
or 
hostssl all qualys scan [address] 


Qualys 認証 スキ ャ ン 


md3S clientcert=1 


md3 clientcert=1 


cert 


cert 


PostgreSQL 認証 レコ ー ド 


コン プラ イア ンス スキ ャ ン を 実行 する PostgreSQL デー タベース 
イン スタ ンス ご と に PostgreSQOL レコ ー ド を 作成 し ます 。 Unix 認 
証 が 必要 で ある た め 、PostgreSQOL デー タベース を 実行 し て いる 
ホス ト の Unix レコ ー ド も 必要 に な り ま す 。 


操作 手順 


| Scans 」 つ 「 Authentication 」 > 「New 」 > 「 Databases 」 = 
「PostgreSQL」 を 選択 し ます (Qualys PC が 有効 な アカ ウン ト で の 
み 使用 で きま す )。 


必要 な 情報 


に 使用 する ユー ザ ア カ ウ ント 、 認証 を 行う デー タベース イン 
スタ ンス 、 デー タベース が イン スト ー ル され て いる ポー ト ( デ フォ 
ルト は 3432) を 指定 し ます 。 


認 証 


ロー 
‘=— Scans Scans Maps Schedules Appliances 
Search 
Ne | New vw | 
Operating Systems... 
N perating Systems 2 Title 
| Network and Security. 2 | 
Agent Test Appiications.. » 10.115.76.151-10.115.76.152 
Global Default Databases... | iMpBz 5.76.152 
VMware- 2 InformixDB 
Global Default 9 
System Record Templates... p MariaDB 
同 Global Default MongoDB 
Authentication Vaults 
Global Default MS SQL 
Download.… | MySQL 
Agent Test Un 区 5 
Oracle 
Global Default Network Unix Oracle Listener 
Global Default Network Oracle rntal Gresnpinm 
Global Default Network Oracle 
Sybase 
| Global Default Network Oracle Test Oracle Basic 


使 + する 認 mw 証 方 法 ( 


よ 、 サ ー バ の 設定 に よっ て 異な り ま す 。 


次 の よう な 指定 方 法 が あり ます 。 


- パス ワー ド (「Login Credentials」 タ ブ で 入力 する か 、 Vault か ら 取 得 し ます ) 。 


- クラ イア ント 証明 書 (「Private Key / Certificate」 タ ブ で 入力 し ます )。 
- パス ワー ド お よび クラ イア ント 証明 書 ( 両 放 の タブ で 値 を 入力 し ます )。 


New PostgreSQL Record 


Private Key / Certificate 
| Unix 
IPs 


Comments 
Th 


To 


Username* 
Database Name*: 


Port 5432 


Hosts: 


SSL Vefiry: 


Password: 


Confirm Password* 


Authentication 


Login Credentials > Tell us the user accountto use for authentication. the database instance you want to authenticate to, and the port where the 
database is installed 


qualys_scan 
postaresql_db 


(Default js 5432) 


is is required if you choose SSL Verify. 


host.domain, host.domain,... 


同 (server must support SSL) 


use a client certificate, enter it on the Private Key/Certificate tab. 
Get password from vault 
COCO 


core ET 


Tum help tps 


Provide a list of FQDNs for all host IP addresses on which a custom SSL certificate signed by a trusted root CA is installed. 


SSL verification is skipped by default Select this option to verify that the server's SSL ceficate is valid and trusted 


| For authentication, you can use a password, a client certificate, or both (depending on your server settings). 


|Off Launch Help 


| 


SSL の 必要 性 


SSL を 使用 する と 、 デ 


Verify」 を 選択 すれ ( 


施さ れ ま す 。 デフ ォ ル ト で は 、 こ の オプ ショ ン は false に 設定 


Qualys 認証 スキ ャ ン 


タベース に 安全 に 接続 で きま す 。 デ 
ざさ 、SSL で 保護 され た リン ク を リク エス ト す る こと ( 


タベース サ 


され て いま す 。 


バ が SSL 【 


に 対応 し て いる 場合 、「SSL 
こ な り ます 。 サー バ の SSL 証明 書 の 検証 も 実 


PostgreSQL 構成 ファ イル 


「Unix」 タ ブ で 、Unix ホス ト (IP アド レス ) 上 の PostgreSQL 設定 ファ イル へ の 完全 パス を 指定 し ます 。 (「IPs」 タ ブ に 
表示 され て いる ) こ の レコ ー ド の すべ て の TP の ファ イル は 、 同じ 場所 に ある 必要 が あり ます 。 


New PostqgreSQL Record Turn help tips: On | Off Launch Help 
| Record Title Unix | 
ドー ュー トー Enter the full path to the PostqreSQL configuration fle on your Unix hosts. The file must be in the same location for all hosts (IPs) 


in this record. If different, create another record 
Private Key / Certificate 
Configuration File var/lib/pgsqy9.3/data/postgresal.conf 


| example: arflib/pgsql/data/postgresql.conf 
IPs 
Comments 


レコ ー ド に 追加 する IP 


入力 され た 資格 情報 を 使用 し て スキ ャ ナ が ログ イン する 必要 が ある PostgreSQOL デー タベース の TP を 選択 し ます 。 
Unix 認証 が 必要 で ある た め 、 同じ IP の Unix レコ ー ド も 必要 に な り ま す 。 


New PostgreSQL Record Ee 


Record Title IPs 
Login Credentials Add IPs to your PostgreSQL record 
Private Key / Certificate Enter or Select IPs/Ranges. Select IPs/Ranges | Select Asset Group | Remove | Clear 
Um 192.168.0.87-192.168.0.92, 192.168.0.200 
Inix 


IPs 


マ 


Comments 


回 Display each PRange on new Ine 


Unix authentication is required. Make sure the IPs you assign to this record are already in a Unix record. 


役立つ ヒン ト - ログ イン カウ ンタ の ヒン ト 


PostgreSQL は 、 ロ グイ ン 和 失敗 カウ ンタ を 維持 する こと に より 、 ポー トス キャ ン か ら の 保護 を 積 
極 的 に 実行 し ます 。 正常 に ログ イン を 完了 する こと な く PostgreSQOL の ポー ト に 接続 を 試み 
る と 、 こ の カウ ンタ が イン クリ メン ト し ます 。 これ を 意識 し て お く こ と は 管理 者 に と っ て 必要 で 
す 。 最終 的 に 、 サ ー バ が デー タベース へ の TCP 接続 の 受け 入れ を 停止 する た めで す 。 


管理 者 は 「PostgreSQLadmin flush-hosts」 コ マン ド を 発行 し て カウ ンタ を リセ ッ ト し 、 低 す ぎる 
値 に 設定 され て いる 可能 性 が ある カウ ンタ 値 を 大 きく する こと が 推奨 され ます 。 


最終 更新 日 : 2020 年 6 月 19 日 


Qualys 認証 スキ ャ ン 


